Authentification et autorisation

Authentification et autorisation

Quelle est la différence entre l'authentification et l'autorisation sur un site Internet et comment la combinaison des deux est essentielle.

Une grande quantité de sites web utilisent un gestionnaire de contenus (CMS) pour faciliter la mise à jour de leurs informations.  Les CMS, tout comme les CRM et les ERP, sont des formes d'application Web.  Afin de permettre à un utilisateur d'accéder à des sections sécurisées et d'effectuer certaines actions, celui-ci doit être identifié par le système et ses droits doivent être vérifiés.

L'authentification

L'authentification est le processus par lequel l'utilisateur passe avant de pouvoir démarrer une session auprès d'une application.  Durant cette étape, il doit fournir des informations de connexion qui permettent de l'identifier.  Par exemple: un nom d'utilisateur, une adresse de courriel, un mot de passe, etc.  Une fois authentifié, l'utilisateur n'aura plus à repasser à travers cette étape afin d'exécuter des actions sur le système, et ce, tant que sa session demeurera active.

La durée de la session varie d'une application à l'autre.  C'est un choix de conception généralement lié au domaine d'affaires.  Par exemple, une session sur un site bancaire est généralement courte.  Après 2 minutes d'inactivité, la session est détruite et l'utilisateur doit s'authentifier à nouveau.

Un système d'authentification bien conçu prend toujours en charge la gestion des sessions, le cryptage des mots de passe et la protection contre les attaques par force brute.  D’autres fonctionnalités peuvent se greffer, telles que la récupération des mots de passe.

L'autorisation

L’autorisation est le processus de vérification des droits d’un utilisateur sur un système.  Avant de permettre une action, la mécanique d’autorisation doit s’assurer que cette action est autorisée en fonction des permissions de l’utilisateur.

La mécanique d’autorisation permet, entre autres, d’afficher ou de masquer certaines informations, de limiter l’accès à certaines sections, de bloquer des actions jugées critiques telles que l’approbation ou la suppression de données.

Certaines mécaniques demandent au concepteur d’application la création de rôles.  Par exemple, employé, auteur, approbateur, gestionnaire de produits, administrateur, etc.  Chaque rôle donne accès à plusieurs fonctionnalités à l’intérieur du système.

Lorsque vient le temps d’octroyer des droits à une personne, il ne suffit que de lui confier les bons rôles.

En résumé

D'autres failles peuvent compromettre l'intégrité d'un système.  Mais du point de vue des utilisateurs et de leurs activités, c'est essentiellement la combinaison de l'authentification et de l'autorisation qui rend les applications sécuritaires.  La configuration de chacun dépend de chaque entreprise et de ses règles d’affaires.


Références, ressources et exemples :

Catégorie : Interactif

Auteur :